Curve Finance pagó USD $250.000 a colaborador que identificó una vulnerabilidad
Diario Bitcoin
Publicado 01.05.2024 11:14
Actualizado 01.05.2024 11:41
Curve Finance pagó USD $250.000 a colaborador que identificó una vulnerabilidad
El año pasado, Curve Finance fue victima de un hackeo que provocó la pérdida de varios millones de dólares en criptomonedas. Por suerte, en ese momento logró recuperar gran parte de los fondos.
***
- Un experto de seguridad se llevó una recompensa jugosa por alertar a Curve Finance sobre vulnerabilidad
- El año pasado, la plataforma DeFi sufrió un ataque de piratería por varios millones de dólares en cripto
- La vulnerabilidad que se alertó en esta ocasión fue del mismo tipo que permitió el ataque en 2023
Un investigador de seguridad se llevó una grata sorpresa cuando recibió un pago de seis dígitos luego de haber descubierto una vulnerabilidad crítica en un protocolo de finanzas descentralizadas (DeFi) que pudo haber derivado potencialmente en la pérdida de millones de dólares en criptomonedas.
Curve Finance, un popular intercambio descentralizado (DEX), recompensó al investigador de ciberseguridad identificado públicamente como ‘Marco Croc’ con una suma de USD $250.000 por haber identificado una vulnerabilidad de reentrada en el protocolo, según reportaron varios medios y como informó el propio Croc en redes sociales.
En un hilo publicado en su cuenta de X (antes Twitter), Croc, quien es jefe de seguridad de Kupia Security, brindó detalles sobre el caso, explicando cómo se podría haber aprovechado el error para manipular saldos y retirar dinero de los fondos de liquidez.
“La vulnerabilidad podría haber causado una inconsistencia entre el saldo real y la variable de estado del saldo al llamar a retiro_admin_fees dentro del respaldo de remove_liquidity_imbalance. (reentrada)“, escribió.
El investigador agregó que tan pronto como descubrió el inconveniente lo reportó al equipo de Curve. El informe estuvo seguido de una investigación exhaustiva por parte del protocolo y posteriormente del pago de la recompensa al colaborador por su trabajo.
En una respuesta, el equipo de Curve Finance calificó la amenaza como “no tan peligrosa”, aclarando que si hubiese habido una explotación, el atacante no hubiese podido apropiarse de los fondos ya que estos hubiesen sido “recuperables“. Sin embargo, a pesar de esto, reconocieron el “pánico” potencial que podría haber causado el incidente en la comunidad.
Obtenga la app
“Este es un ejemplo de un trabajo muy profesional“, agregaron los desarrolladores en agradecimiento a Croc.
Esfuerzos de seguridad para evitar hackeos La recompensa al investigador parecen ser parte de los esfuerzos recientes del DEX para fortalecer sus defensas contra posibles ataques de piratería; especialmente después de haber sido víctima de una explotación causada precisamente por una vulnerabilidad de reentrada.
A mediados del año pasado, Curve Finance fue objeto de un hackeo que causó inicialmente la pérdida de varios millones de dólares en monedas digitales. Durante el ataque, varios actores maliciosos vaciaron los grupos de liquidez del protocolo, lo que provocó que el precio de CRV, el token nativo de Curve, cayera un 20%.
En ese momento, la plataforma ofreció una recompensa de 1,85 millones de dólares a cualquiera que pudiese ayudar a identificar al responsable de la explotación. Para su suerte, algunos de los piratas informáticos involucrados actuaron éticamente devolviendo a Curve Finance gran parte de los fondos robados.
Como parte de los esfuerzos de restauración del protocolo, la comunidad de Curve votó a favor de reembolsar activos por valor de casi USD $50 millones a los proveedores de liquidez (LP) para cubrir así las pérdidas causadas.
La reciente recompensa para el experto ponen de relevancia la dinámica colaborativa del espacio de monedas digitales. Curve no es el único actor de la industria que ha extendido un pago en agradecimiento a un experto por informar sobre fallas de seguridad, y numerosas plataformas cuentan con programas de recompensa diseñados precisamente para situaciones así.
Se conocen específicamente como programas de ‘Bug Bounty’, o de recompensas por error, y se entregan usualmente a los expertos de seguridad o hackers de sombrero blanco que alertan sobre una vulnerabilidad de seguridad crítica en los software.
Hace un tiempo, Coinbase (NASDAQ:COIN) pagó una recompensa de USD $250.000 a una persona que alertó sobre una falla en el intercambio.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Diseño creado en Canva, con imagen de Unsplash
Leer más en Diario Bitcoin
Escrito por: Diario Bitcoin
Las operaciones con instrumentos financieros o criptomonedas implican un elevado riesgo, incluyendo la pérdida parcial o total del capital invertido, y pueden no ser adecuadas para todos los inversores. Los precios de las criptomonedas son extremadamente volátiles y pueden verse afectados por factores externos de tipo financiero, regulatorio o político. Operar sobre márgenes aumenta los riesgos financieros.
Antes de lanzarse a invertir en un instrumento financiero o criptomoneda, infórmese debidamente de los riesgos y costes asociados a este tipo operaciones en los mercados financieros. Fije unos objetivos de inversión adecuados a su nivel de experiencia y su apetito por el riesgo y, siempre que sea necesario, busque asesoramiento profesional.
Fusion Media quiere recordarle que la información contenida en este sitio web no se ofrece necesariamente ni en tiempo real ni de forma exacta. Los datos y precios de la web no siempre proceden de operadores de mercado o bolsas, por lo que los precios podrían diferir del precio real de cualquier mercado. Son precios orientativos que en ningún caso deben utilizarse con fines bursátiles. Ni Fusion Media ni ninguno de los proveedores de los datos de esta web asumen responsabilidad alguna por las pérdidas o resultados perniciosos de sus operaciones basados en su confianza en la información contenida en la web.
Queda prohibida la total reproducción, modificación, transmisión o distribución de los datos publicados en este sitio web sin la autorización previa por escrito de Fusion Media y/o del proveedor de los mismos. Todos los derechos de propiedad intelectual están reservados a los proveedores y/o bolsa responsable de dichos los datos.
Fusion Media may be compensated by the advertisers that appear on the website, based on your interaction with the advertisements or advertisers.